I grandi cambiamenti portano anche nuovi rischi e nuove minacce. Se poi il cambiamento è vissuto in corsa, in emergenza, con la necessità di rispondere in tempi strettissimi, con poca o nessuna pianificazione a esigenze impreviste e imprevedibili, ecco che i rischi sono destinati a crescere. Il numero stesso delle variabili che concorrono alla composizione della “mappa dei rischi” è spesso correlata alla necessità di “posticipare” a una fase successiva interventi più strutturali o infrastrutturali in ragione della necessità di dare una risposta immediata e appunto urgente. L’emergenza Coronavirus ha dimostrato che l’innovazione digitale è nella condizione di rispondere con accelerazioni straordinarie alle nuove esigenze che il lockdowan ha posto ai cittadini, ai lavoratori, alle organizzazioni della Pubblica Amministrazione e alle imprese.
Il digitale ha dimostrato concretamente quanto possa essere efficace lo smart working e in generale la gestione di soluzioni di remote workforce e quali e quanto siano importanti i benefici che possono arrivare alla società e alle imprese. L’emergenza ha poi dimostrato come la “remotizzazione” delle attività lavorative possa essere di supporto per aumentare in tempi velocissimi la capacità di resilienza delle imprese e la sua capacità di adattarsi a condizioni avverse mantenendo condizioni e situazioni di business continuity. Ma se si alza lo sguardo dagli indubbi benefici che questo cambiamento, tanto repentino quanto benefico, ha portato alla società e alle imprese si scorge una doppia necessità: da una parte l’esigenza di mettere in sicurezza tutti questi vantaggi e tutte queste opportunità proteggendole da una serie di nuovi rischi e nuove minacce che rischiano di colpire tanto le persone quanto le imprese per le quali lavorano; in secondo luogo l’esigenza pressante di effettuare questi interventi con un “pensiero di lungo periodo” ovvero con una riflessione infrastrutturale che vede un consolidamento dello Smart Working e delle prospettive di sviluppo della Remote Workforce come una delle condizioni fondamentali del prossimo New Normal.
Ed è qui che si colloca l’incontro che abbiamo avuto in occasione del Think Digital IBM 2020 con Martin Borrett, IBM Distinguished Engineerand CTO IBM Security Europe, proprio sui temi prioritari della sicurezza della remote workforce e del ripensamento strategico del Risk management delle imprese nella prospettiva di gestire in modo stabile la forza lavoro “fuori dal classico perimetro aziendale”. (leggi anche il servizio Krishna, IBM a Think Digital: tutte le aziende diventeranno AI company)
Martin Borrett è un ingegnere in forza all’IBM e ha l’incarico di CTO IBM Security Europe, è coautore di due IBM Redbooks “Presentazione di IBM Security Framework e IBM Security Blueprint per realizzare la sicurezza orientata al business” e “Comprensione della sicurezza SOA”. Borrett ricopre inoltre il ruolo di presidente dell’European IBM Security Board of Advisors, rappresenta IBM presso GFCE e Industry Advisory Board of LORCA, London Office for Rapid Cybersecurity Advancement, è membro della British Computer Society, Chartered Engineer (CEng) e membro di l’IET.
Sicurezza per la remote workforce: prima di tutto serve chiarezza
Nell’affrontare i temi della sicurezza della forza lavoro che per garantire la business continuity a fronte dell’emergenza Covid-19 si è trovata a operare da casa o in luoghi esteri all’azienda Borrett richiama subito l’esperienza diretta di IBM stessa. “Il 95% della forza lavoro di IBM ha iniziato a lavorare da casa in pochi giorni. Partendo dalla IBM Security Unit e dalla figura del BISO (Business Information Security Officer abbiamo istituito un centro di comando specifico per il Covid-19, per erogare comunicazioni regolari, fornire notizie e linee guida. Le comunicazioni chiare sono un componente fondamentale in queste situazioni, la chiarezza serve per instillare un senso di calma e mantenere la continuità del business e per avere la giusta consapevolezza delle minacce. E’ poi assolutamente essenziale lavorare per mantenere prima di tutto in sicurezza le persone, i dati dell’azienda e gli strumenti di lavoro. Abbiamo preparato 128 piani di continuità connessi alla minaccia pandemica. La criticità era di fornire linee guida chiare e di immediato utilizzo, che includevano misure atte ad assicurare la privacy e la sicurezza dei dati in azienda e dei dipendenti”.
Proteggere persone e dati: priorità per la sicurezza della remote workforce
Borrett prosegue sottolineando che “abbiamo imparato a proteggere i nostri dati e quelli dei nostri clienti tramite una strategia e un team denominati X-Force Threath Intelligence che ha lavorato per rendere disponibili ed utilizzabili soluzioni specifiche per lo smart working, per la sicurezza dei dati da proteggere e garantire in condizioni diverse da quelle convenzionali e per assicurare la continuità dei servizi. Oltre a ciò, abbiamo fornito sostegno in senso ampio alla società donando risorse, ricerche e capacità per accelerare i processi di innovazione e fornire informazioni locali affidabili”.
Il manager ricorda inoltre l’approccio metodologico per gestire questa nuova situazione basato su un Securiy Unit Covid-19 Command Center che ha potuto agire sulla base di tre specifici criteri: una logica cross-funzionale, l’organizzazione di briefing regolari per la condivisione di informazioni, dati ed esperienze e la capacità di gestire situazioni di allerta e di urgenza in tempi strettissimi. Sempre dal punto di vista metodologico il Command Center Briefings aveva il compito di centralizzare una serie di informazioni chiave come aggiornamenti provenienti dall’esterno, analisi di minacce intelligenti e incidenti cyber emergenti, analisi di condizioni di salute e di situazioni di safety per i dipendenti e dati relativi a business continuity plan.
Ma Borrett ricorda anche che a fronte di una situazione di emergenza nella quale l’88% delle organizzazioni e delle imprese hanno invitato in varie forme e in vari modi i propri dipendenti o le proprie risorse a lavorare da casa, appare necessario guardare ai temi della sicurezza con lo sguardo al lungo periodo e in particolare con tre grandi obiettivi:
- la definizione di un nuova strategia di Risk management sempre più collegata e integrata con i temi del cyberrisk
- un vero e proprio piano d’azione sul Threath management
- la focalizzazione forte nel mantenere e aumentare un ambiente basato sulla fiducia
Mantenere un aggiornamento costante sulle minacce che possono colpire la remote workforce
Sul “come” Borrett insiste molto sulla consapevolezza, sulla conoscenza, sulla concentrazione: “Una componente importante del nostro lavoro prevede proprio di mantenere calma e concentrazione con il focus sulla sicurezza delle persone e sulla continuità del business garantendo un costante aggiornamento sulla rapida evoluzione delle minacce informatiche”.Da questo approccio arrivano anche le priorità del CISO per rispondere alla situazione di emergenza creata dal Covid-19: occorre abilitare la continuità delle operazioni CISO, occorre garantire in modalità 24/7 tutte le operazioni di sicurezza, occorre creare una data una virtual incident response.
Da questa esperienza arriva anche un decalogo con 10 pratiche essenziali per la sicurezza e la privacy in situazioni di emergenza. Un insieme di indicazioni che partono dall’allerta verso le truffe che purtroppo in questi periodi sono in aumento e sfruttano il clima di emergenza e la necessità di persone e imprese di muoversi con velocità in un perimetro di azione nuovo, più esteso e con maggiore esposizione; c’è poi un tema di aggiornamento costante di tutti i device; di crescente attenzione alle abitudini e ai comportamenti di navigazione; un focus particolare su tutto ciò che riguarda i dati personali e aziendali e sull’accesso ai sistemi e alle reti. Accanto a queste indicazioni ci sono poi aspetti legati all’attenzione da utilizzare sui sistemi di produzione, che non devono essere lasciati alla portata di altre persone, della necessità di avere sempre la massima consapevolezza dell’importanza dei dati dati e della privacy e dunque un invito ad avere un approccio ispirato alla riservatezza, all’accortezza e all’attenzione nell’utilizzo di qualsiaai device e nella gestione della sicurezza collegata ai sistemi wireless. Ultimo, ma non certo meno importante, la massima attenzione a segnalare eventuali incidenti, ma sempre con precisione e accuratezza di informazioni.
Le ragioni di queste indicazioni Borrett le ripete con la massima attenzione. In condizioni di emergenza emergono anche nuovi rischi e anche tanti “comportamenti ai quali fare attenzione“. In queste situazioni e nel lockdown Covid-19 in particolare si registra un aumento dei volumi di spam, cambia il perimetro aziendale e aumenta la superficie degli attacchi, arrivano nuovi malware, ci sono minacce indirizzate a target più sensibili, come nel mondo sanitario o della salute, a causa del lavoro da remoto ci sono reti che rischiano di essere più vulnerabili. Aumentano in definitiva sia i livelli di attenzione sia gli ambiti ai quali prestare questa attenzione.
Una strategia di sicurezza della remote workforce di lungo termine
Borrett insiste molto sull’importanza di una strategia e di un’azione di lungo termine e osserva quanto sia importante lavorare una una ulteriore accelerazione nei livelli di maturità della sicurezza informatica nelle imprese e nelle organizzazioni anche in ragione di un peso sempre più importante delle logiche cloud. La sicurezza può e deve aumentare, ci sono condizioni di governance, di rispetto degli standard, di capacità di intervento, di attenzione ad update e informazioni che vanno nella direzione di un aumento delle difese e di una maggiore velocità e precisione nella individuazione delle minacce. In questo senso Borrett conferma che la situazione corrente ha messo sotto pressione le logiche tradizionali di supply chain portando l’attenzione sulla resilienza. Le organizzazioni stanno guardando in modo differente la supply chain e stanno accelerando processi di innovazione digitale anche per affrontare le nuove e diverse esigenze che si paleseranno dopo l’epidemia. L’Internet of Things e l’accesso da remoto hanno visto a loro volta forti accelerazioni in termini di utilizzo e anche su questi ambiti è apparso necessario accelerare sulle strategia di sicurezza ed estendere il rilevamento della vulnerabilità ben oltre le esigenze interne. In generale Borrett afferma di vedere una importante espansione delle Security Operation lungo tutti i componenti delle filiere e delle supply chain in risposta a una crescente necessità di integrazione. L’ultimo aspetto, legato al fenomeno della shadow IT, per certi aspetti amplificato dall’espansione della remote workforce, non deve essere visto, secondo Borrett come una minaccia, ma anzi come una opportunità. “Tuttavia – conclude – è necessario educare la forza lavoro, che deve essere conscia dei rischi legati alla sicurezza che sono direttamente collegati alle modalità di utilizzo degli apparati. Le aziende devono fornire linee guida sempre più chiare e precise sugli strumenti e sui sistemi possono essere utilizzati o meno, e devono anche individuare le fonti di rischio, fornire informazioni precise e contribuire alla loro eliminazione.
Leggi anche